Ciberseguridad: ¿Qué es el QRishing y cómo nos defendemos de este fraude?

Por aquí hemos hablado del phishing a través de correos fraudulentos, del envío de facturas falsas, del smishing o del vishing, así que por seguir con los «ings» toca hablar del QRishing, palabro que no tengo ni idea de cómo se pronunciaría y que viene a ser una combinación de QR y phishing.

Los códigos QR (abreviatura del inglés Quick Response, que vendría a ser Respuesta Rápida en castellano) fueron creados por Toyota a mediados de los 90 para gestionar sus inventarios de repuestos y se popularizaron rápidamente en Japón, expandiéndose por Europa durante la primera década de los 2000 y alcanzando su mayor aceptación durante la pandemia de 2020, cuando los locales de hostelería comenzaron a usarlos para enlazar urls con sus cartas al no poder utilizar una carta en papel. Cada vez más en los últimos años se están convirtiendo en una alternativa a los tradicionales códigos de barras, pues permiten almacenar información más compleja.

Ejemplo de código QR
Código QR (Ejemplo tomado de Wikipedia)

Su popularización en los últimos tiempos, cuando se han vuelto un recurso casi omnipresente y todos los teléfonos traen ya un lector de QR incorporado, ha llevado a que también se utilicen para el cibercrimen. El QRishing consiste en engañar a la víctima para que lea un código QR creyendo que le llevará a un sitio legítimo y conducirle realmente a uno fraudulento, para allí intentar robar sus credenciales de acceso a algún servicio o incluso colarle un falso pago (fue muy sonado un caso en Texas en el que se usaron códigos QR falsos para engañar a la gente que quería pagar los tickets del parking). Os podría contar un gracioso troleo que realicé sirviéndome de estos códigos el verano pasado (una acción entre activismo, pedagogía y un poco de cabronería también), pero prometí contárselo a un amigo y si lo lee aquí luego perderá su gracia cuando lo hablemos entre birras.

¿Cómo nos protegemos?

Bueno, primero vamos con las medidas técnicas: yo diría que es importante que la aplicación que usemos no abra directamente la URL escaneada en el código sino que, en lugar de eso, nos muestre la dirección a la que va a llevarnos y nos pregunte antes si queremos ir. Un simple gesto que nos hará perder un par de segundos a cambio de ganar mucho en seguridad.

Más allá de tener una app un poco más segura el resto dependerá de nuestro proceder, como en todo lo que podamos considerar fraude o estafa: habría que comprobar que el código viene de una fuente fiable, si nos piden credenciales de acceso ver que la página sea legítima y si tiene sentido que nos lo pidan, si es para realizar un pago habrá que andarse con mi ojos y ver tanto que la plataforma sea legítima como que el receptor del pago sea el correcto y comprobar finalmente en la página de nuestro banco que la transacción haya sido correcta. Si tomamos como ejemplo la estafa de los aparcamientos en Texas, añadiría que también hay que fijarse que el código que vamos a escanear no haya sido manipulado, si hay una pegatina con un código colocada encima de otro es mejor desconfiar y alertar a la entidad o negocio que debería gestionarlo por si fuera un intento de estafa.

Ciberseguridad: reconocer facturas on-line fraudulentas

Una de las estafas que más ha crecido en los últimos años en el mundo de internet es el envío de facturas fraudulentas mediante correo electrónico o sistemas de mensajería instantánea. Fue especialmente grave durante el confinamiento de la primavera de 2020, momento en el que en España se registraron varios intentos de fraude suplantando a Hacienda o a la Oficina de Patentes para intentar engañar a empresas y organismos públicos. Lógicamente los atacantes suelen hacer un trabajo previo de investigación antes de ataque, sirviéndose de fuentes abiertas (por ejemplo buscar licencias de obra en registros públicos municipales o autonómicos) o de subterfugios (fishing, vishing) para recabar información tanto de la víctima a la que pretenden estafar como del proveedor al que pretenden suplantar.

¿Cómo nos protegemos?

  • Lo primero es comprobar la legitimidad de la factura: el número de cuenta, el CIF, el concepto, incluso el diseño comparando con facturas anteriores, la dirección de correo desde la que se nos ha enviado la factura… Si vemos algo extraño, algo distinto, si es una factura que no esperábamos o si es algo que ya habíamos pagado antes y nos vuelven a enviar lo mejor es contactar con el emisor, no a través del propio correo desde el que hemos recibido la factura sino por el contacto que ya tuviésemos con esa entidad/proveedor de antemano (teléfono, otro mail, etc) para comprobar que no hayan sido suplantados.
  • Dos red flags: si nos apremian al pago con mucha urgencia e incluso con amenazas legales (ya comentamos en la entrada sobre el vishing que esa estrategia de asustar se usa para que la víctima se ponga nerviosa y no piense) o si el proveedor nos informa de un cambio en su cuenta bancaria, esto debería ponernos sobre aviso y en esos casos es mejor contactar y confirmar esa información por otros medios.
  • Como ya hemos comentado hablando del smishing o de los correos fraudulentos, intentar no pinchar en enlaces ni descargar ficheros que recibamos en esos correos.
  • Además de intentar no ser estafados también es importante intentar no ayudar involuntariamente a los estafadores: en ocasiones estos atacantes intentarán hacerse con una factura real para poder falsificarla con mayor detalle, por lo que desconfía cuando te pidan una factura con alguna excusa tipo «es para revisarla«.